[ 악성코드 ] PreLab 7, Lab 7 (IE 접속제어)
Internet Explorer 리다이렉션
(1) Windows 10 가상머신에 접속한 후, Visual Studio를 구동하여 InjDll.cpp (44장 코드)에 대응되는 InjDll.exe 파일과
redirect.cpp에 대응되는 redirect.dll (34장 코드) 파일을 생성한다. (빈 프로젝트, 유니코드 문자집합, debug 모드에서 생성함)
(2) 본 Pre-Lab의 실행 파일을 관리자 권한으로 실행해야 돼서, InjDll.cpp 파일과 redirect.cpp 파일에서 SetPrivilege 관련 내용은 삭제하지 않음.
(3) redirect.cpp 파일과 InjDll.cpp 파일에 있는 IsVistaLater 함수를 주석처리하고,
MyCreateRemoteThread 함수 안에서 주석 2000, XP, Server 2003에 해당되는 코드를 사용하고,
주석 Vista, 7, Server 2008에 해당되는 코드를 주석처리 하여 사용하지 않는다.
(4) 인터넷 익스플로러를 실행하고 Process Explorer에서 동작중인 인터넷 익스플로러를 확인한다.
(5) Windows PowerShell을 관리자 권한으로 실행한다. PowerShell상에서 i 옵션을 이용하는 InjDll.exe 프로그램을 실행한다. (형식: InjDll.exe iexplore.exe –i 전체경로가 표시된 redirect.dll)
.\InjDll.exe msedge.exe -i C:\Users\swu04\source\repos\InjDll\Debug\redirect.dll
(6) Process Explorer상의 Find 기능을 통해서 redirect.dll이 인젝된 iexplore.exe 프로세스들을 확인한다.
(7) 인터넷 익스플로러에서 새로운 탭을 생성한 후, Process Explore상의 Find 기능을 통해서 새로 생성된 탭에 대응되는 프로세스에 redirect,dll이 인젝되었는지 확인한다.
(8) www.daum.net, www,nate.com, www.yahoo.com 사이트에 각각 접속하였을 때 실제로는 www.reversecore.com 사이트로 이동되는 것을 확인한다.
(9) PowerShell상에서 e 옵션을 이용하는 InjDll.exe 프로그램을 실행한다. (형식: InjDll.exe iexplore.exe –e 전체경로가 표시된 redirect.dll)
(10) Process Explorer 상에서 redirect.dll이 이젝되었는지 확인한다.
(11) www.daum.net, www,nate.com, www.yahoo.com 사이트에 대한 접속이 정상적으로 이루어지는지 확인한다.